《2021年度高級威脅態勢研究報告》發布(附下載)
2021年,全球疫情持續蔓延,世界局勢錯綜復雜,國際格局向多極化加速演變,國家之間的網絡安全博弈基于地緣政治因勢而變。隨著疫情沖擊,遠程辦公逐漸日常化,給國家背景的黑客組織和灰黑產行業創造了更多機會,軟件供應鏈、工業互聯網、移動設備的危機逐漸凸顯,網絡安全形勢更加嚴峻。
安恒信息威脅情報中心根據對2021全年攻擊事件的檢測和分析,發布《2021高級威脅態勢研究報告》(以下簡稱報告),分別從高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野0day利用情況四方面進行分析總結,并提供了對2022攻擊態勢的七點研判預測。
2021高級威脅態勢概況
高級威脅攻擊篇
攻擊事件主要集中在南亞和中東
2021年發生了約201起APT攻擊事件,主要集中在南亞和中東,其次是東亞地區,東南亞地區的APT組織攻擊有所放緩。其中Lazarus、Kimsuky、APT29等組織行動較為頻繁。
新增受害國家
從受害者的國家分布分析,韓國、美國遭到的攻擊占比最高,比重分別為11.67%、10.55%。APT組織正嘗試擴大攻擊范圍,因此出現了一些新的受害國家,例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等國家。
金融、航空、醫療部門成重點目標之一
根據行業分布來看,政府部門和國防部門仍是其主要的針對目標,攻擊事件占比達到15.52%、6.16%。其次是金融、航空,以及醫療衛生行業。這些行業的公司內部包含高價值的情報。醫療衛生行業儲存大量關于新冠疫苗的重要信息,2021年也出現了以生物制造設施為目標的APT攻擊活動。
攻擊團伙活動篇
勒索犯罪產業高速發展
2021年發生了約2000多起勒索軟件攻擊事件,Conti、LockBit、Hive、BlackMatter為今年活躍的勒索軟件組織。對關鍵基礎設施的勒索攻擊會給全球實體造成巨大影響。各國政府擬定政策打擊網絡犯罪活動, Avaddon、BABUK、DarkSide在內的勒索團伙等宣布解散退出。但這種行為可能只是為了分散執行人員的注意力或逃避經濟制裁,這些組織會進行再次重組并繼續進行勒索攻擊活動。報告重點介紹Conti、LockBit 2.0、Hive、BlackMatter四個勒索軟件團伙。
過去幾年勒索軟件組織品牌重塑的大致時間線
間諜軟件成為巨大潛在威脅
間諜軟件也是在2021年引起高度關注的威脅,其具有高復雜性、難追溯性等特點。商業間諜軟件行業能夠提供豐厚的利潤回報,因此間諜軟件服務逐漸成為復雜、國際化、具有巨大潛在威脅的產業。報告重點介紹NSO Group、Candiru和Cytrox三款間諜軟件。
六大網絡攻擊事件
- Solarwinds軟件供應鏈攻擊事件;
- 黑客入侵佛羅里達水廠系統投毒事件;
- DarkSide組織攻擊美國輸油管道運營商事件;
- Revil組織利用Kaseya產品漏洞發起大規模供應鏈勒索攻擊;
- Lazarus組織持續針對安全研究人員;
- Log4j漏洞事件。
在野0day總結
數量超過去年兩倍
2021年披露的在野0day數量達到58個,超過了2020年的兩倍。按影響產品劃分,占比最大是瀏覽器漏洞,其次是操作系統漏洞,分別占比45%和29%。按漏洞類型劃分,占比最多的是遠程代碼執行漏洞,其次是權限提升漏洞,分別占比57%和35%。
8個重點事件
- 蔓靈花組織首次使用0day;
- 朝鮮APT組織使用社會過程學和瀏覽器0day攻擊安全研究人員;
- 多個Exchange 0day橫空出世;
- Chrome 0day數量連續第二年大幅增加;
- Windows提權0day數量較往年翻倍;
- 蘋果產品的0day數量爆發式增長;
- IE 0day數量依然較多,與Office結合更為深入;
- AdobeReader 0day重現江湖。
2022攻擊態勢研判預測
基于對2021年高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野漏洞利用情況的分析,我們得出對2022攻擊態勢的七點研判預測,包括2022年易受攻擊的行業、流行的攻擊手法、攻擊特點等。
1 醫學研究將持續成為威脅攻擊者的目標
2 ICS工業環境面臨的威脅將持續增長
3 可能會出現更多的軟件供應鏈攻擊
4 雇傭間諜軟件服務將更加流行
5 垃圾郵件活動將更具針對性
6 勒索軟件將繼續主導威脅格局
7 針對移動設備的攻擊或會增加
